利用Burp suit扫描漏洞

一、开始准备
1.1burp是利用本地代理抓取所传送的数据包的,所以我们要设置浏览器的代理。打开Firefox浏览器,在地址栏输入http://192.168.1.3/,回车进行访问。单击“选项”。如图1所示

                               图1

1.2切换到“高级”选项卡,单击“网络”->单击“设置”。在代理服务器下,勾选“手动配置代理”,地址设置为127.0.0.1,端口为8080,单击“确定”,如图2所示

                        图2

1.4双击Burp suite扫描器下的BurpLoader.jar,打开burp,切换到Proxy下的Options查看代理是否一致,可以看到Burp和浏览器的代理是一致的。如图3所示

                                 图3

1.5下面开始抓包,在浏览器刷新一下当前页面,可以看到浏览器一直在转,在Burp中,切换到Proxy下的Intercept,可以看到相关数据,说明我们已经抓到包了。如图4所示

                                图4

1.6单击右键,选择“Send to Spider”,开始爬取网站。如图5所示

                                 图5

1.7单击“Yes”。如图6所示

                                图6

1.8在Spider下的Control,我们可以看到当前爬取的状态为“Spider is Runing”。如图7所示

                                 图7

1.9在爬取的过程中可能会弹出如下界面,单击“Ignore from”。遇到类似的界面都进行同样的操作。如图8所示

                                图8

1.10一直单击Proxy–>Intercept下的Forward按钮,直到按钮变为灰色。切换到Target下的Site Map,可以这里看到刚才的网址,此外,还有该网站的Issues及其对应的Advisory等相关信息。如图9所示

                               图9

1.11右键http://192.168.1.3,选择主动扫描“Actively scan this host”。如图10所示

                                图10

1.12默认,单击“Next”。如图11所示

                               图11

1.13单击“OK”。如图12所示

                                   图12

1.14我们可以在Scanner下的Scan queue中看到扫描的进度。如图13所示

                                图13

1.15可以在Target下的Site map中看到扫描出来的结果,可以看到扫描出来的Issues中有跨站脚本攻击和明文密码传输两个严重漏洞。注意,需要等待一段时间才能得到扫描结果,所以请耐心等待。如图14所示

                                  图14

利用Burp suit扫描漏洞相关推荐

  1. kali:Nessus扫描漏洞并用msf利用攻击xp系统

    Nessus扫描漏洞 1.启动nessus服务 /bin/systemctl start nessusd.service 2.在浏览器打开https://192.168.50.128:8834/,登陆 ...

  2. web安全最亲密的战友Burp Suite—网络攻防常用工具介绍--burp suit工具初体验一

    本文是我的免费专栏<网络攻防常用工具介绍>的第一篇文章 磨刀不误砍柴工! 在介绍攻防技术时,突然意识基础工具的使用很容易会被忽略,但是对不熟悉的同学来说,这将会极大影响该领域的学习. 所以 ...

  3. 常见的安全扫描漏洞的工具、漏洞分类及处理

    一.扫描网站漏洞是要用专业的扫描工具,下面就是介绍几种工具 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目进行全面的测试.其扫描项目和插件经常更新并且可以自动更新.Ni ...

  4. 蜜罐中利用jsonp跨域漏洞和xss漏洞的分析

    一.前言 我们在打红队的时候,经常会碰到蜜罐,而更有一些"主动防御"的蜜罐中利用到了一些网站的跨域漏洞和xss,对此进行简单分析. 二.蜜罐的概念 蜜罐主要是通过布置诱饵,诱使攻击 ...

  5. php缓存注入,利用Thinkphp 5缓存漏洞实现前台Getshell

    原标题:利用Thinkphp 5缓存漏洞实现前台Getshell *本文原创作者:WindWing,属于FreeBuf原创奖励计划,禁止转载 0×00 背景 网站为了实现加速访问,会将用户访问过的页面 ...

  6. 【文件包含漏洞-03】文件包含漏洞的利用及如何利用本地文件包含漏洞GetShell

    文件包含漏洞的利用 读取敏感文件 我们可以利用文件包含漏洞读取任意文件,读取文件的时候有利用条件 目标主机文件存在(目标文件的路径.绝对路径.相对路径) 具有文件可读权限 提交参数http://loc ...

  7. Fortofy扫描漏洞解决方案

    Fortofy扫描漏洞解决方案: Log Forging漏洞: 数据从一个不可信赖的数据源进入应用程序. 在这种情况下,数据经由CreditCompanyController.java 的第 53行进 ...

  8. 使用 Metasploit 利用 OpenSSH 用户枚举漏洞 (CVE-2018-15473, CVE-2016-6210, CVE-1999-0502)

    使用 Metasploit 利用 OpenSSH 用户枚举漏洞 (CVE-2018-15473, CVE-2016-6210, CVE-1999-0502) 警告 请勿将本文提到的任何技术用于非法用途 ...

  9. 利用永恒之蓝漏洞+修复方法(MS17-010)

    文章目录 利用永恒之蓝漏洞+修复方法(MS17-010) 1.环境 2.信息收集 3.使用MSF的永恒之蓝模块 4.使用ms17_010模块,对靶机进行扫描 5.1使用ms17_010模块,对靶机进行 ...

最新文章

  1. 姿态迁移CoCosNet v2
  2. JVM调优:定位垃圾的常用算法
  3. 模板—tarjan求割边
  4. 学习 vuex 源码整体架构,打造属于自己的状态管理库
  5. 基于java的科研信息管理平台
  6. jQuery实现的向下推送图文信息滚动效果
  7. MySQL实战 | 01 当执行一条 select 语句时,MySQL 到底做了啥?
  8. 使用Secure Store Service连接数据库
  9. Python3.7安装numpy与scipy库(win10)
  10. Ureport2源码启动
  11. 使用 阿里云 播放器播放 .flv 和 hls(.m3u8) 格式的视频流
  12. python七段数码管绘制实验报告_python实现七段数码管和倒计时效果
  13. Flutter中的圆角和圆形效果
  14. java语言就业方向_Java的就业方向有哪些?
  15. 中海国亚Java笔试题
  16. 【毕业设计】4-基于单片机的锅炉控制系统的研究与设计(原理图+源代码+仿真工程+答辩论文+答辩PPT)
  17. 【C熟肉】字符串len cpy实现
  18. oracle 的dual是什么东西
  19. MapReduce分布式编程模型
  20. 如何计算 R 中 Z 分数的 P 值

热门文章

  1. (C语言)常见字符函数和字符串函数
  2. 4. hda设备中的pcm文件 (第三部分)
  3. python类与类的关系_python 类与类之间的关系
  4. 树莓派实现人脸识别(翔云方案)
  5. 树莓派 搭建个人nas并且给予离线下载的功能
  6. 数据链路层(3.使用广播信道的数据链路层)
  7. C++第12周项目6——太乐了!
  8. 4.1 简单题 - D 加油冲鸭(C语言)
  9. linux 磁盘最大读写速度,测试linux下磁盘的读写速率
  10. 耶鲁大学计算机科学录取,重磅!!!耶鲁大学计算机科学录取+1!